我将能够避免为验证创建整个数据库或在当前用户表中的其他浪费表上浪费一些开销。
据我所知,这将是一个安全和干净的解决方案。但是我对这一切都很陌生,我的问题甚至可能很愚蠢和陈词滥调,但我认为在犯下相当大的错误之前先问你专家是安全的。
网址将是这样的:www.example.ex/validate/username/md5username
所以我的问题是:这是个好主意吗?我什至需要加盐吗?
问问题
130 次
1 回答
0
使用纯 md5 哈希,这将是一个坏主意。一旦用户看到这个方案,他就可以在没有有效邮件地址的情况下验证新帐户。
至少,md5-hash 必须有某种盐——最好为每个用户提供一种新盐。否则就是默默无闻的安全。
于 2012-11-21T18:27:27.943 回答